Някои въпроси, които поставя сривът на Търговския регистър

Сериозният инцидент в информационната система на Търговския регистър, експлоатирана от Агенцията по вписванията, за пореден път убедително показва, че информационната сигурност далеч не се ограничава с мерките срещу злонамерени действия и атаки, а представлява комплекс от проблеми от нормативно, организационно, технологично и пр. естество. Това пише в свой анализ проф. д-р Румен Трифонов, преподавател по информатика във Висшето училище по застраховане и финанси (ВУЗФ).

В случая с Търговския регистър е нарушена достъпността, т.е. възможността системата да обслужва своите потребители. Защо? Както се вижда от оскъдната информация, която е достояние на обществеността, причините за инцидента са вътрешни. Само че, става дума не за т.н. “Insider Threats” от гледна точка на кибер-заплахите, а за недостатъчен професионализъм.

Нека все пак да посочим два главни извода относно тази ситуация, от гледна точка на международно утвърдените постулати и правила на мрежовата и информационна сигурност. Те не са особено положителни, но са важни, за да можем да направим цялостна равносметка какво е състоянието на информационната инфраструктура в администрацията и как да я подобрим.

Първо и от изключителна важност е, че прави впечатление пълното неглижиране от страна на държавната администрация на препоръките, свързани със защитата на т.н. „критична информационна инфраструктура“. В съответствие с Директива 2008/114/ЕО и последвалото я комюнике СОМ (2009) 149 на Европейската комисия относно защитата на критичната информационна инфраструктура (КИИ), озаглавено “Защита на Европа от широкомащабни кибернетични атаки и смущения: повишаване на готовността, сигурността и устойчивостта”, следваше правителството със свой нормативен акт да определи кръга от системи, влизащи в тази инфраструктура (т.е. системи, прекратяването на работата, на които би било критично за функционирането на държавата – при това не само държавни системи, но и частни). Същият нормативен акт би трябвало да определи задължителните мерки, които собственикът на системата трябва да предприеме, за да гарантира устойчивост (Resilience), непрекъсваемост на работните процеси (Workflow Continuity) и възстановяване след бедствия (Disaster Recovery).

А защо да не споменем и утвърдените в световната практика методи за репликация на данните в географско разделени центрове, огледално копиране, Load-balancing и пр. Предполагам и се надявам, че в Агенцията по вписванията са използвани някои от тези подходи за запазване на данните, и информацията в Търговския регистър ще бъде възстановена. Трябва само да се отбележи, че тези възможности за резервиране на данните нараснаха с появата на значително количество „облачни центрове“. 

Всички организации, експлоатиращи информационни системи, влизащи в кръга на „критичната информационна инфраструктура“, задължително би трябвало да изградят и сертифицират „системи за управление на информационна сигурност“ по смисъла на стандарта БДС EN ISO/IEC 27001:2017.

Другият аспект, който също е изключително важен, е моментът на т.н. „отработване на инциденти“ (Incident Handling). Независимо от източника и причината за инцидента (природни, технологични, злонамерени или случайни действия), процедурите и последователностите на действията по отстраняване причините за инцидента и ликвидиране на неговите последствия са идентични и са подробно регламентирани в различни международни документи (в т.ч. стандарти и препоръки). Заслужава да се отбележат Препоръката (де-факто, стандарт) на NIST (National Institute for Standardization and Technology)  SP.800 – 61 “Computer Security Incident Handling Guide” и на ENISA (European Network and Information Security Agency) “Good Practice Guide for Incident Management”.